壹、說明

預報貨物資訊系統及其相關業務為本組織核心業務。為保護本組織核心業務正常運作，與相關資訊資產(包括硬體、軟體、通訊、資料、文件、人員及環境等)之安全，免於因外在之威脅，或內部人員不當之管理與使用，致遭受竄改、揭露、破壞或遺失等風險，特制訂資訊安全政策（以下簡稱本政策）

貳、依據

本政策係依據「資通安全管理法」、「關稅法」、「個人資料保護法」、「財政部及所屬機關構資通安全政策及組織管理規範」及「財政部關務署暨各關資通安全管理作業規定」等有關法令與規定，考量通關業務需求訂定，經由管理階層定義並核准後發布實施於全組織。

參、願景

本組織願景如下：

提供便捷安全的通關服務

肆、資訊安全政策

一、確保資訊安全本質

（一）機密性：

1、合法存取資訊。

2、重要系統紀錄應有良好保護機制，僅能讓經過授權的人員存取。

（二）完整性：

1、資訊或系統維持正確與完整。

2、資訊系統的存取權限、威脅與弱點要加以控管，以維持其完整性。

（三）可用性：

1、資訊或系統需要使用時即可供存取。

2、當合法使用者要求使用資訊系統時，使用者均可在適當的時間內獲得回應，並完成服務需求。

二、目的

為達本組織對資通安全維護的期許與要求，本組織將以本政策為基礎，依據組織發展需要，並考量資訊系統營運風險，滿足資通安全適用要求事項，建立一個完整、可行、有效之資訊安全管理系統(Information Security Management System;ISMS)，並持續改善作為本組織資通安全提供最佳之保障。

三、績效衡量指標

本組織應定期統計相關績效量測數據，作為ISMS評量指標之依據，為達到目標之要求，指標應包含：

(1)資訊安全事件發生控制在可接受範圍。

(2) 資料（含存取）錯誤發生控制在可接受範圍。

(3) 網路服務中斷(down time)控制在可接受範圍。

(4) 管理階層或其他關注方之要求。

(5) 量測指標訂於「資安目標達成狀況報表(G07D04014)」，量測紀錄應定期審查。

伍、適用範圍

本組織所有同仁(含技工友、約僱聘人員、職務代理人等)、委外(含第三方)廠商，及預報貨物資訊系統、系統相關服務作業，與系統關聯所有資訊資產。

陸、責任劃分

一、本組織各單位主管應積極參與並支持資訊安全管理活動。

二、本組織各單位同仁應依據規定落實本政策之要求。

三、所有委外廠商都有責任遵循本政策。

四、上述人員都有責任透過適當通報機制，通報所發現之資訊安全意外事故或可疑之資訊安全弱點。。

柒、風險評估與管理

為達到組織願景，符合定量及定性化政策目標，特制定「風險評估暨管理程序書」，以有效管理資訊系統服務面臨風險，降低風險至可接受範圍。

捌、資訊安全政策之遵循

本組織所有同仁及委外廠商未遵循本政策或相關資訊安全規定，或行使其他任何危及本組織資訊安全之行為，都將訴諸適當之懲罰程序或法律行動；對於資訊安全法令或技術提供改進意見，經執行確具成效者，應給予適當獎勵。

玖、資訊安全政策之修訂

本政策應至少每年評估1次，或於組織全景發生重大變化時審查修訂，以反映政府法令、技術及業務等最新現況，確保資通安全實務作業之合宜性、適切性與有效性。